网络控制器NAC

信锐新一代网络控制器是信锐技术自主研发的多元化、高性能的网络控制器设备,集信锐新一代网络控制器、认证服务器、内网终端状态可视化分析、上网行为管理、上网行为审计、流量控制、VPN、防火墙、有线无线管理系统。 结合AI运维技术,极大程度的提升网络运维效率!
NAC3.13.0-3.14.0
{{sendMatomoQuery("网络控制器NAC","控制器SNMP配置指导")}}

控制器SNMP配置指导

更新时间:2024-07-02

1功能简介

1.1应用场景

                     IMG_256

SNMP(Simple Network Management Protocol,简单网络管理协议)SNMP 提供了一种通过运行网络管理软件NMSNetwork Management System)的网络管理工作站来管理网络设备的方法,用于管理网络中上众多的软硬件平台。开启后可以通过snmp协议查询本设备系统信息,如设备型号,内存使用率,硬盘使用率,CPU消耗等。SNMP是广泛应用于TCP/IP网络的网络管理标准协议,该协议能够支持网络管理系统,用以监测连接到网络上的设备是否有任何引起管理上关注的情况。SNMP采用轮询机制,提供最基本的功能集,适合小型、快速、低价格的环境使用,而且SNMP以用户数据报协议(UDP)报文为承载,因而受到绝大多数设备的支持,同时保证管理信息在任意两点传送,便于管理员在网络上的任何节点检索信息,进行故障排查。

SNMP 支持以下几种操作:

1NMS 通过 SNMP 协议给网络设备发送配置信息

2NMS 通过 SNMP 来查询和获取网络中的资源信息

3)网络设备主动向 NMS 上报告警消息,使得网络管理员能够及时处理各种网络问题

1.2适用版本

NAC3.13.0

1.3配置思路

1、确保控制器和SNMP服务器之间网络可达,相关UDP端口不被拦截。

2、控制器上进行SNMP的配置,保证和SNMP服务器配置一致即可。

2注意事项

2.1业务影响范围

配置控制器SNMP功能不会当前业务。

2.2配置注意事项

网管系统(SNMP服务端)的端口号、认证参数配置必须和控制器上保持一致,且控制器必须和网管系统的SNMP版本一致,否则网管系统无法管理设备。

3配置步骤

3.1SNMP原理

SNMP 包括 NMS,Agent 和 MIB 等,Agent 是被管理设备中的一个代理进程,MIB 是一个数据库,它包含了被管理设备所维护的变量。

(1)NMS 是运行在网管主机上的网络管理软件。网络管理员通过操作 NMS,向被管理设备发出请求,从而可以监控和配置网络设备。

(2)Agent 是运行在被管理设备上的代理进程。被管理设备在接收到 NMS 发出的请求后,由 Agent 作出响应操作。Agent 的主要功能包括:收集设备状态信息、实现 NMS 对设备的远程操作、向 NMS 发送告警消息。

(3)管理信息库 MIB(Management Information Base)是一个虚拟的数据库,是在被管理设备端维护的设备状态信息集。Agent 通过查找 MIB 来收集设备状态信息(有些管理系统是需要导入被管理设备的 MIB,我司控制器有 MIB,在控制器上就可以下载)。

下载 MIB 文件:点击该按钮,可下载设备的 MIB 库,导入到 SNMP 管理软件中,从而通过管理软件对设备的各个参数进行监控。

3.2SNMP版本

版本

描述

SNMPv1

实验方便,安全性弱

SNMPv2

有一定安全性

SNMPv3

定义了一种管理框架,为用户提供了安全的访问机制

SNMPv1:网管端工作站上的 NMS 与被管理设备上的 Agent 之间,通过交互 SNMPv1报文,可以实现网管端对被管理设备的管理。SNMPv1 基本上没有什么安全性可言。

SNMPv2: 在继承 SNMPv1 的基础上,其性能、安全性、机密性等方面都有了大的改进。

SNMPv3: 是在 SNMPv2 基础之上增加、完善了安全和管理机制。SNMPv3 体系结构体现了模块化的设计思想,使管理者可以方便灵活地实现功能的增加和修改。SNMPv3 的主要特点在于适应性强,可适用于多种操作环境,它不仅可以管理最简单的网络,实现基本的管理功能,也可以提供强大的网络管理功能,满足复杂网络的管理需求。

1、SNMP v1

image

SNMPv1 定义了 5 种协议操作:

① Get-Request:NMS 从代理进程的 MIB 中提取一个或多个参数值

② Get-Next-Request:NMS 从代理进程的 MIB 中按照字典式排序提取下一个参数值

③ Set-Request:NMS 设置代理进程 MIB 中的一个或多个参数值

④ Response:代理进程返回一个或多个参数值。它是前三种操作的响应操作

⑤ Trap:代理进程主动向 NMS 发送报文,告知设备上发生的紧急或重要事件

2、SNMP v2

image

SNMPv2 新增了 2 种协议操作:

(1)GetBulk:相当于连续执行多次 GetNext 操作。在 NMS 上可以设置被管理设备在一次 GetBulk 报文交互时,执行 GetNext 操作的次数。

(2)Inform:被管理设备向 NMS 主动发送告警。与 Trap 告警不同的是,被管理设备发送 Inform 告警后,需要 NMS 进行接收确认。如果被管设备没有收到确认信息则会将告警暂时保存在 Inform 缓存中,并且会重复发送该告警,直到 NMS 确认收到了该告警或者发送次数已经达到了最大重传次数。

3、SNMP v3

image

SNMPv3 的实现原理和 SNMPv1/SNMPv2 基本一致,主要的区别是 SNMPv3 增加了身份验证 和加密处理

(1)NMS 向 Agent 发送不带安全参数的 Get 请求报文,向 Agent 获取安全参数等信息

(2)Agent 响应 NMS 的请求,向 NMS 反馈所请求的参数

(3)NMS 向 Agent 发送带安全参数的 Get 请求报文

(4)Agent 对 NMS 发送的请求消息进行认证,认证通过后对消息进行解密,解密成功后,向 NMS 发送加密的响应

3.3网络拓扑

                    IMG_256

3.4NAC上配置SNMP

1、SNMP v1/v2 配置

勾选 SNMPv1/v2,表示启用我司控制器 SNMP 功能,版本是 v1/v2

配置团体名,团体名可以理解成 NMS 读取被管理设备中的信息的一个密码,只有 NMS中的读团体名和被管理设备中的设置的读团体名一致时,NMS 才能成功的读取想要的信息,本例设置的读团体名为“sundray”,网络中常用的读团体名也就是“public”,故为了安全性起见,可以适当的修改读团体名的名字。

出于安全性考虑,还可以对允许访问的主机进行 IP 地址的限制。在允许访问主机一栏中可以配置指定某些主机可以进行访问该控制器。

2、SNMP Trap 配置

企业微信截图_1716257813532

SNMP Trap又称SNMP陷阱,启用后可以让本设备主动发送信息到管理端,而不需要等到管理端轮询后再发送。需要配置管理端的IP地址和端口,以及团体名。支持向多个管理端发送信息SNMP Trap 该功能的主要作用是当被管理设备发生任何变化时,立即向 NMS 发起报告。

团体名可以自行进行配置,但必须保证管理设备中配置的团体名和被管理设备中的团体名一致。主机 IP 为管理设备的 IP 地址,即当 NAC 上的配置发生改变时,能够及时的向 NMS发起报告。端口为默认的 162,不需要进行修改(Agent 使用 UDP 协议向 NMS 发送告警消息,目的端口号为 162)。

3、SNMP v3 配置

若是客户认为 SNMPv1 的安全性较低,则可采用安全级别较高的 SNMPv3v3 版本的好处在于可以加密又可以认证,如果你认为这个网络是一个不可靠的网络即可采用 V3 版本。即便网路中有设备拦截了 SNMP 数据包,它也不知道里面的数据。

企业微信截图_17162590183002

用户名:设置 zabbix 用户名,该用户名需要与管理设备配置的 zabbix 用户名一致身份密码认证算法:我司控制器支持 SHA MD5 认证算法,只有当选择的认证算法和设置的认证密码和管理设备中设置的认证算法和认证密码一致时,NMS 才能成功的读取想要的信息数据加密算法:我司控制器支持 DES 算法,只有当选择的数据加密算法和设置的加密密码和管理设备中设置的加密算法和密码一致时,NMS 才能成功的读取想要的信息。

4效果演示

SNMP服务器测可以正常查看控制器的状态以及CPU、内存以及端口状态。

5常见问题

1、现在用的最多的就是 SNMPv1 SNMPv3 版本

2、团体名可以自行进行配置,但必须保证管理设备中配置的团体名和被管理设备中的

团体名一致

3、通过 SNMPv3 访问我司控制器,权限为只读

4、我司控制器所支持身份密码认证算法只有 SHA MD5 认证算法

5、我司控制器所支持的数据加密算法只有 DES 算法